Identificazione e autenticazione: concetti di base

2024 Autore: Howard Calhoun | [email protected]. Ultima modifica: 2023-12-17 10:31

L'identificazione e l'autenticazione sono alla base dei moderni strumenti di sicurezza software e hardware, poiché qualsiasi altro servizio è principalmente progettato per servire queste entità. Questi concetti rappresentano una sorta di prima linea di difesa che garantisce la sicurezza dello spazio informativo dell'organizzazione.

Cos'è questo?

Identificazione e autenticazione hanno funzioni diverse. La prima dà al soggetto (l'utente o il processo che agisce per suo conto) la possibilità di fornire il proprio nome. Con l'aiuto dell'autenticazione, la seconda parte è finalmente convinta che il soggetto sia davvero chi afferma di essere. L'identificazione e l'autenticazione sono spesso sostituite dalle frasi "nome messaggio" e "autenticazione" come sinonimi.

Loro stessi sono divisi in diverse varietà. Successivamente, esamineremo cosa sono l'identificazione e l'autenticazione e cosa sono.

Autenticazione

Questo concetto prevede due tipi: unilaterale, quando il clientedeve prima provare la sua autenticità al server, e bidirezionale, cioè quando viene condotta la conferma reciproca. Un esempio standard di come viene eseguita l'identificazione e l'autenticazione standard dell'utente è la procedura per l'accesso a un particolare sistema. Pertanto, tipi diversi possono essere utilizzati in oggetti diversi.

In un ambiente di rete in cui l'identificazione e l'autenticazione dell'utente vengono eseguite su parti geograficamente distanti, il servizio in questione differisce in due aspetti principali:

• che funge da autenticatore;
• come è stato organizzato esattamente lo scambio dei dati di autenticazione e identificazione e come è protetto.

Per provare la propria identità, il soggetto deve presentare una delle seguenti entità:

• alcune informazioni che conosce (numero personale, password, chiave crittografica speciale, ecc.);
• qualcosa che possiede (carta personale o altro dispositivo con uno scopo simile);
• una certa cosa che è un elemento di per sé (impronte digitali, voce e altri mezzi biometrici per identificare e autenticare gli utenti).

Caratteristiche del sistema

In un ambiente di rete aperto, le parti non hanno un percorso attendibile, il che significa che, in generale, le informazioni trasmesse dal soggetto potrebbero non corrispondere alle informazioni ricevute e utilizzatedurante l'autenticazione. È necessario per garantire la sicurezza dell'ascolto attivo e passivo della rete, ovvero la protezione dalla correzione, dall'intercettazione o dalla riproduzione di vari dati. L'opzione di trasmettere le password in chiaro è insoddisfacente e, allo stesso modo, la crittografia delle password non può salvare la situazione, poiché non forniscono protezione contro la riproduzione. Ecco perché oggi vengono utilizzati protocolli di autenticazione più complessi.

Un'identificazione affidabile è difficile non solo a causa di varie minacce online, ma anche per una serie di altri motivi. Prima di tutto, quasi tutte le entità di autenticazione possono essere rubate, contraffatte o dedotte. Esiste anche una certa contraddizione tra l'affidabilità del sistema utilizzato, da un lato, e la comodità dell'amministratore di sistema o dell'utente, dall' altro. Pertanto, per motivi di sicurezza, è necessario chiedere all'utente di reinserire le proprie informazioni di autenticazione con una certa frequenza (poiché qualche altra persona potrebbe essere già seduta al suo posto), e questo non solo crea ulteriori problemi, ma aumenta anche notevolmente il possibilità che qualcuno possa spiare l'immissione di informazioni. Tra le altre cose, l'affidabilità dei dispositivi di protezione influisce in modo significativo sul suo costo.

I moderni sistemi di identificazione e autenticazione supportano il concetto di single sign-on alla rete, che consente principalmente di soddisfare i requisiti in termini di comodità dell'utente. Se una rete aziendale standard dispone di molti servizi informativi,prevedendo la possibilità di un trattamento autonomo, allora la reiterata immissione di dati personali diventa troppo onerosa. Al momento non si può ancora affermare che l'uso del single sign-on sia considerato normale, poiché le soluzioni dominanti non si sono ancora formate.

Così, molti stanno cercando di trovare un compromesso tra convenienza, convenienza e affidabilità dei mezzi che forniscono identificazione/autenticazione. L'autorizzazione degli utenti in questo caso viene effettuata in base a regole individuali.

Si deve prestare particolare attenzione al fatto che il servizio utilizzato può essere scelto come oggetto di un attacco alla disponibilità. Se il sistema è configurato in modo tale che, dopo un certo numero di tentativi falliti, la possibilità di entrare sia bloccata, in questo caso gli aggressori possono interrompere il lavoro degli utenti legali con pochi tasti.

Autenticazione password

Il vantaggio principale di un tale sistema è che è estremamente semplice e familiare ai più. Le password sono utilizzate da molto tempo da sistemi operativi e altri servizi e, se utilizzate correttamente, forniscono un livello di sicurezza abbastanza accettabile per la maggior parte delle organizzazioni. Ma d' altra parte, in termini di insieme complessivo di caratteristiche, tali sistemi rappresentano il mezzo più debole attraverso il quale è possibile effettuare l'identificazione/autenticazione. L'autorizzazione in questo caso diventa abbastanza semplice, poiché le password devono esserlocombinazioni memorabili, ma allo stesso tempo semplici non sono difficili da indovinare, soprattutto se una persona conosce le preferenze di un particolare utente.

A volte capita che le password, in linea di principio, non vengano mantenute segrete, in quanto hanno valori abbastanza standard specificati in certa documentazione, e non sempre dopo l'installazione del sistema vengono modificate.

Quando inserisci la password, puoi vedere e in alcuni casi le persone usano persino dispositivi ottici specializzati.

Gli utenti, i principali soggetti di identificazione e autenticazione, possono spesso condividere le password con i colleghi in modo che cambino proprietà per un certo tempo. In teoria, in tali situazioni sarebbe meglio utilizzare speciali controlli di accesso, ma in pratica questo non viene utilizzato da nessuno. E se due persone conoscono la password, aumentano notevolmente le possibilità che altri alla fine lo scoprano.

Come risolvere questo problema?

Ci sono diversi metodi per proteggere l'identificazione e l'autenticazione. Il componente di elaborazione delle informazioni può proteggersi come segue:

• L'imposizione di varie restrizioni tecniche. Molto spesso, vengono impostate regole per la lunghezza della password, nonché per il contenuto di alcuni caratteri in essa contenuti.
• Gestire la scadenza delle password, ovvero la necessità di cambiarle periodicamente.
• Limitazione dell'accesso al file della password principale.
• Limitando il numero totale di tentativi falliti disponibili all'accesso. Grazie aIn questo caso, gli aggressori dovrebbero eseguire azioni solo prima di eseguire l'identificazione e l'autenticazione, poiché il metodo della forza bruta non può essere utilizzato.
• Pre-formazione degli utenti.
• Utilizzo di un software specializzato per la generazione di password che ti consente di creare combinazioni abbastanza euforiche e memorabili.

Tutte queste misure possono essere utilizzate in ogni caso, anche se vengono utilizzati altri mezzi di autenticazione insieme alle password.

Password una tantum

Le opzioni discusse sopra sono riutilizzabili e, se la combinazione viene rivelata, l'attaccante ha l'opportunità di eseguire determinate operazioni per conto dell'utente. Ecco perché le password monouso vengono utilizzate come mezzo più forte, resistente alla possibilità di ascolto passivo della rete, grazie al quale il sistema di identificazione e autenticazione diventa molto più sicuro, anche se non così conveniente.

Al momento, uno dei più popolari generatori di password monouso è un sistema chiamato S/KEY, rilasciato da Bellcore. Il concetto di base di questo sistema è che esiste una certa funzione F nota sia all'utente che al server di autenticazione. Quella che segue è la chiave segreta K, nota solo a un determinato utente.

Durante l'amministrazione iniziale dell'utente, questa funzione viene utilizzata per la chiaveun certo numero di volte, dopo di che il risultato viene salvato sul server. In futuro, la procedura di autenticazione sarà la seguente:

1. Un numero arriva al sistema utente dal server, che è 1 in meno rispetto al numero di volte in cui la funzione viene utilizzata per il tasto.
2. L'utente utilizza la funzione per la chiave segreta disponibile il numero di volte impostato nel primo paragrafo, dopodiché il risultato viene inviato via rete direttamente al server di autenticazione.
3. Il server utilizza questa funzione per il valore ricevuto, dopodiché il risultato viene confrontato con il valore precedentemente salvato. Se i risultati corrispondono, l'utente viene autenticato e il server salva il nuovo valore, quindi decrementa il contatore di uno.

In pratica, l'implementazione di questa tecnologia ha una struttura leggermente più complessa, ma al momento non è così importante. Poiché la funzione è irreversibile, anche se la password viene intercettata o si ottiene un accesso non autorizzato al server di autenticazione, non fornisce la possibilità di ottenere una chiave segreta e in alcun modo prevedere come sarà nello specifico la prossima password monouso.

In Russia, uno speciale portale statale viene utilizzato come servizio unificato: il "Sistema di identificazione/autenticazione unificato" ("ESIA").

Un altro approccio a un sistema di autenticazione forte consiste nell'avere una nuova password generata a brevi intervalli, implementata anche tramiteutilizzo di programmi specializzati o di varie smart card. In questo caso, il server di autenticazione deve accettare l'appropriato algoritmo di generazione della password, oltre a determinati parametri ad esso associati e, inoltre, deve esserci anche la sincronizzazione dell'orologio del server e del client.

Kerberos

Il server di autenticazione Kerberos è apparso per la prima volta a metà degli anni '90 del secolo scorso, ma da allora ha già ricevuto un numero enorme di modifiche fondamentali. Al momento, i singoli componenti di questo sistema sono presenti in quasi tutti i moderni sistemi operativi.

Lo scopo principale di questo servizio è quello di risolvere il seguente problema: c'è una certa rete non protetta, e vari argomenti sono concentrati nei suoi nodi sotto forma di utenti, così come sistemi software server e client. Ciascuno di questi soggetti ha una chiave segreta individuale e affinché il soggetto C abbia l'opportunità di dimostrare la propria autenticità al soggetto S, senza il quale semplicemente non lo servirà, dovrà non solo nominarsi, ma anche per dimostrare che conosce una certa La chiave segreta. Allo stesso tempo, C non ha l'opportunità di inviare semplicemente la sua chiave segreta a S, poiché, prima di tutto, la rete è aperta e, inoltre, S non lo sa e, in linea di principio, non dovrebbe saperlo. In una situazione del genere, viene utilizzata una tecnica meno semplice per dimostrare la conoscenza di queste informazioni.

Lo prevede l'identificazione/autenticazione elettronica tramite il sistema Kerberosutilizzare come terza parte fidata che ha informazioni sulle chiavi segrete degli oggetti serviti e, se necessario, li assiste nella conduzione dell'autenticazione a coppie.

Così, il cliente invia prima una richiesta al sistema, che contiene le informazioni necessarie su di lui, così come sul servizio richiesto. Dopodiché, Kerberos gli fornisce una specie di ticket, che viene crittografato con la chiave segreta del server, nonché una copia di alcuni dati da esso, che viene crittografato con la chiave del client. In caso di corrispondenza, si stabilisce che il cliente ha decriptato le informazioni a lui destinate, ovvero ha potuto dimostrare di conoscere davvero la chiave segreta. Ciò suggerisce che il cliente è esattamente chi afferma di essere.

Si dovrebbe prestare particolare attenzione al fatto che il trasferimento delle chiavi segrete non è stato effettuato sulla rete e sono state utilizzate esclusivamente per la crittografia.

Autenticazione biometrica

La biometria implica una combinazione di mezzi automatizzati per identificare/autenticare le persone in base alle loro caratteristiche comportamentali o fisiologiche. I mezzi fisici di autenticazione e identificazione includono la verifica della retina e della cornea degli occhi, le impronte digitali, la geometria del viso e della mano e altre informazioni personali. Le caratteristiche comportamentali includono lo stile di lavoro con la tastiera e la dinamica della firma. Combinatoi metodi sono l'analisi di varie caratteristiche della voce di una persona, nonché il riconoscimento del suo discorso.

Tali sistemi di identificazione/autenticazione e crittografia sono ampiamente utilizzati in molti paesi del mondo, ma per molto tempo sono stati estremamente costosi e difficili da usare. Di recente, la domanda di prodotti biometrici è aumentata notevolmente a causa dello sviluppo dell'e-commerce, poiché, dal punto di vista dell'utente, è molto più conveniente presentarsi che memorizzare alcune informazioni. Di conseguenza, la domanda crea offerta, quindi sul mercato hanno cominciato ad apparire prodotti relativamente poco costosi, che si concentrano principalmente sul riconoscimento delle impronte digitali.

Nella stragrande maggioranza dei casi, la biometria viene utilizzata in combinazione con altri autenticatori come le smart card. Spesso, l'autenticazione biometrica è solo la prima linea di difesa e funge da mezzo per attivare smart card che includono vari segreti crittografici. Quando si utilizza questa tecnologia, il modello biometrico viene memorizzato sulla stessa scheda.

L'attività nel campo della biometria è piuttosto elevata. Esiste già un consorzio appropriato e si sta svolgendo anche un lavoro abbastanza attivo volto a standardizzare vari aspetti della tecnologia. Oggi puoi vedere molti articoli pubblicitari in cui le tecnologie biometriche sono presentate come mezzo ideale per aumentare la sicurezza e allo stesso tempo accessibili al grande pubblico.le masse.

ESIA

Il Sistema di Identificazione e Autenticazione ("ESIA") è un servizio speciale creato al fine di garantire l'attuazione di vari compiti relativi alla verifica dell'identità dei richiedenti e dei partecipanti all'interazione interdipartimentale in caso di fornitura di qualsiasi servizio municipale o statale in formato elettronico.

Per poter accedere al "Portale Unico delle Agenzie Governative", così come a qualsiasi altro sistema informativo dell'infrastruttura dell'attuale e-government, sarà necessario prima registrare un account e, di conseguenza, ricevi un PES.

Livelli

Il portale del sistema unificato di identificazione e autenticazione prevede tre livelli principali di account per gli individui:

• Semplificato. Per registrarlo è sufficiente indicare il proprio cognome e nome, oltre a qualche canale di comunicazione specifico sotto forma di indirizzo email o cellulare. Questo è il livello principale, attraverso il quale una persona ha accesso solo a un elenco limitato di vari servizi pubblici, nonché alle capacità dei sistemi informativi esistenti.
• Standard. Per ottenerlo, è necessario prima emettere un conto semplificato, quindi fornire anche dati aggiuntivi, comprese le informazioni del passaporto e il numero del conto personale assicurativo. Le informazioni specificate vengono controllate automaticamente attraverso i sistemi informativiCassa pensione, così come il Servizio federale di migrazione, e se il controllo ha esito positivo, il conto viene trasferito al livello standard, che apre all'utente un elenco esteso di servizi pubblici.
• Confermato. Per ottenere questo livello di account, il sistema unificato di identificazione e autenticazione prevede che gli utenti dispongano di un account standard, nonché la verifica dell'identità, che viene eseguita tramite una visita personale presso una filiale di servizio autorizzata o ottenendo un codice di attivazione tramite raccomandata. Nel caso in cui la verifica dell'identità abbia esito positivo, l'account passerà a un nuovo livello e l'utente avrà accesso all'elenco completo dei servizi governativi necessari.

Nonostante le procedure possano sembrare piuttosto complicate, infatti, puoi conoscere l'elenco completo dei dati necessari direttamente sul sito ufficiale, quindi una registrazione completa è del tutto possibile entro pochi giorni.